Zum Inhalt springen

Tomato (Firmware)

Aus Wikibooks

Dieses Buch steht im Regal EDV.

Diese Seite hat mittlerweile eine Größe erreicht, die es als geeignet erscheinen lässt, sie in mehrere einzelne Seiten zu zerlegen. In welche Teile diese Seite zerlegt werden könnte, kann auf der Diskussionsseite besprochen werden. Wie man es macht, steht im Wikibooks-Lehrbuch im Abschnitt Buch in Kapitel untergliedern.

Zusammenfassung

[Bearbeiten]
  • Zielgruppe: Besitzer eines Linksys WRT54G(S)/(L) - oder Buffalo WHR-G54S/WHR-HP-G54S/WHR-G125-Routers.
  • Lernziele: Konfigurieren und Betreiben der Tomato-Firmware auf oben genannten Routern.
  • Sind Co-Autoren gegenwärtig erwünscht? Ja. Alle die Tomato kennen und in Betrieb haben.
  • Projektumfang: Vollständige Beschreibung aller Einstellungen und deren Funktionen.
  • Buchpatenschaft / Ansprechperson: Zur Zeit niemand. Buch darf übernommen werden. Früher: WikiPat
  • Hinweis: Buch scheint verwaist zu sein (Hauptautor ist seit 2011 nicht mehr auf WB aktiv).@WikiPat: Wenn du noch an dem Buch arbeiten möchtest, dann mache diese Änderung bitte rückgängig.

Übersicht

[Bearbeiten]

Tomato ist ein alternatives Firmware-Projekt für die folgenden Router:

  • Asus WL-500G Premium (ohne USB Unterstützung in der original Version, jedoch möglich mit dieser Modifikation )
  • Buffalo WHR-G54S
  • Buffalo WHR-G125 (benötigt die ND-Version)
  • Buffalo WHR-HP-G54
  • Buffalo WZR-G54
  • Linksys WRT54G (nur v1-v4)
  • Linksys WRT54GS (nur v1-v4)
  • Linksys WRT54GL (v1 & v1.1)
  • Linksys WRTSL54GS (ohne USB Unterstützung)
  • Netgear WNR3500L (v1 & v2)

Die Firmware wird vom selben Entwickler programmiert, der auch HyperWRT-Tofu entwickelt hat. Diese Firmware ist kein Abkömmling von HyperWRT.

Die Projektseite kann hier besucht werden -> http://www.polarcloud.com/tomato

Der Schwerpunkt von Tomato liegt bei Geschwindigkeit, Effizienz und Usability.

Installation

[Bearbeiten]

Vor dem Upgrade

[Bearbeiten]

einfach nach Readme.txt aus der komprimierten 7z-Datei vorgehen.

  • Die GUI benutzt in hohem Maße JavaScript, um den Inhalt zu erzeugen und XMLHTTP(AJAX) zum Aktualisieren. Dies sollte beachtet werden, wenn ältere Browser benutzt werden. Es wurde nur auf Firefox v1/2/3.6, Opera v9 und IE v6/7 getestet.
  • Der GUI-Benutzername lautet "root" oder "admin" (Benutzername wird benötigt). Der Benutzername für SSH und Telnet lautet immer "root". Das Standardpasswort lautet "admin".
  • Standardmäßig ist die SES/AOSS-Taste so programmiert, dass beim Drücken von 20 oder mehr Sekunden ein passwortfreier Telnet-Dienst auf Port 223 gestartet wird. Wenn es Probleme beim Anmelden gibt, kann dies zum Betrachten oder zum Zurücksetzen des Passworts benutzt werden ("nvram get http_passwd" und "nvram set http_passwd=newpassword"). Dieses Verhalten kann unter Admin/Buttons abgestellt werden.
  • Beim Upgrade von DD-WRT 23 SP2 muss beachtet werden, dass DD-WRT einen anderen "NVRAM Password Key" benutzt und dies eventuell verhindert, sich anmelden zu können. Folgende Schritte können bei Problemen helfen:
    • Nach der Installation von Tomato die "Reset"-Taste drücken, um die gesamte Konfiguration zurückzusetzen.
    • Die SES/AOSS-Taste wie oben beschrieben benutzen.
    • Während DD-WRT noch aktiv ist, folgenden Befehl eingeben "nvram get http_passwd" und die Ausgabe merken. Dies ist dann das Passwort nach der Installation von Tomato
  • G\code.bin ist für den WRT54G v1-4 und den WRT54GL v1-v1.1, GS\code.bin ist für den WRT54GS v1-3, GSv4\code.bin ist für den WRT54GS v4 und TRX\code.trx ist für den WHR-G54S, WHR-HP-G54S und WHR-G125.

Installation auf Linksys WRT54G, WRT54GL oder WRT54GS

[Bearbeiten]
  • Öffnen der Linksys-GUI im Browser. Die Standard-URL ist http://192.168.1.1
  • Ins Menü Administration->Firmware Upgrade wechseln.
  • die richtige Firmware für den Router auswählen und hochladen.
  • ca. 2 Minuten warten bis die Firmware hochgeladen und aktualisiert wurde.
  • auf den Router einloggen und im Menü Administration->Configuration->Restore Default Configuration den Punkt "Erase all data in NVRAM (thorough)" auswählen, um die Werkseinstellungen zu laden. Der Router macht dann einen Neustart.

Installation auf Buffalo WHR-G54S/WHR-HP-G54S/WHR-G125

[Bearbeiten]

Warnung: Es ist zu beachten, dass Buffalo nur verschlüsselte Firmware auf ihrer Webseite anbietet. Es ist nicht möglich, ohne eine unverschlüsselte Buffalo-Firmware zurück zu wechseln. Die folgenden Schritte sind für eine Erstinstallation. Wird schon eine alternative Firmware benutzt, kann versucht werden, eine der .bin-Dateien per Tomato-Web-GUI hochzuladen.

  • Drücken der Reset-Taste, um den Router zurückzusetzten.
  • Den Computer per Kabel an den Router anschließen. Dies funktioniert nicht über eine Funkverbindung.
  • Die Netzwerkkarte des Computers auf folgende Werte konfigurieren: IP=192.168.11.2, Maske=255.255.255.0, Gateway=192.168.11.1 Unter Windows kann dies über die Eigenschaften der Netzwerkkarte eingestellt werden.
  • Sicherstellen, dass die rote Diagnoseleuchte nicht an ist, Stromkabel abziehen, kurz warten und dann Stromkabel wieder anstecken.
  • Wenn Windows benutzt wird, kann die Datei whr_install.bat ausgeführt oder folgendes Kommando ausgeführt werden : tftp -i 192.168.11.1 put code.trx
  • Wenn ein anderes Betriebsystem benutzt wird, TFTP wie folgt benutzen:
    • tftp 192.168.11.1
    • binary
    • put code.trx
  • Es steht nur ein Zeitraum von 5 Sekunden zur Verfügung, um dies auszuführen. Wenn es nicht funktioniert, abstecken und nochmals probieren.
  • Nachdem Hochladen ca. 2 Minuten warten, bis die Firmware geflasht ist.
  • Die Netzwerkkarte auf DHCP stellen.

Die Standard-IP-Adresse des Routers ist 192.168.1.1 Zukünftige TFTP Upgrades greifen auf diese Adresse und die Einstellungen der GUI zurück.

Upgrade der Firmware

[Bearbeiten]
  • Öffnen der Tomato-GUI im Browser. Die Standard-URL ist http://192.168.1.1
  • Ins Menü Administration->Firmware Upgrade wechseln
  • Nach Auswahl einer der Dateien auf Upgrade klicken
  • ca. 2 Minuten warten bis die Firmware hochgeladen und aktualisiert wurde
  • auf dem Router einloggen und im Menü Administration->Configuration->Restore Default Configuration den Punkt "Erase all data in NVRAM (thorough)" auswählen, um die Werkseinstellungen zu laden. Der Router macht dann einen Neustart.(Nicht Erfordelich bei einem Upgrade von einer vorherigen Tomato Version. z.b. 1.26->1.27)

Menüs in Tomato

[Bearbeiten]

Nachfolgend werden alle Menü-Optionen der Tomato-GUI (v1.25) und deren Funktionen aufgelistet

Status

[Bearbeiten]

Stellt Informationen über den gegenwärtigen Zustand des Routers zur Verfügung.

Overview

[Bearbeiten]

Der Overview Bildschirm zeigt Informationen über den Status des Routers. Er ist in 4 Abschnitte aufgeteilt:

  • System zeigt aktuelle Informationen wie
Name WRT54GL
Model Linksys WRT54G/GS/GL


Time Sun, 06 Sep 2009, 18:26:07 +0200 die aktuelle Uhrzeit
Uptime 3 days, 06:28:29 die Betriebszeit seit dem letzten PowerOn
CPU Load (1/5/15) 0.06 / 0.05 / 0.00 die Prozessorlast der letzten 1 / 5 / 15 Minuten
Total / Free Memory 14.19 MB / 2,224.00 KB (15.31%) der aktuelle Speicherverbrauch


  • WAN zeigt Informationen über Internetverbindung (Wide Area Network) an
MAC Address 00:22:6B:12:34:56  MAC-Adresse / IEEE Standards OUI für Cisco-Linksys
Connection Type DHCP  DHCP / Eingetragen unter Basic, Network, WAN/Internet
IP Address 123.123.123.123 die aktuelle (externe) IP-Adresse, zugeteilt vom Internet-Provider
Subnet Mask 255.255.240.0 Subnetz-Maske, zugeteilt vom Internet-Provider
Gateway 123.123.123.1 die aktuelle (externe) Gateway IP-Adresse, zugeteilt vom Internet-Provider
DNS 208.67.222.222, 129.132.250.2, 62.2.17.61 die aktuellen (externen) DNS IP-Adressen, eingetragen unter Basic, Network, LAN
MTU 1500


Status Connected
Connection Uptime 0 days, 01:18:36
Remaining Lease Time 0 days, 01:26:09
Renew
Release
Buttons für eine Erneuerung oder die Freigabe der extern zugewiesenen (IP-)Adressen


  • LAN zeigt Informationen über die Einstellungen des lokalen Netzwerks (Local Area Network).
Router MAC Address 00:22:6B:12:34:12
Router IP Address 192.168.1.1
Subnet Mask 255.255.255.0
DHCP 192.168.1.10 - 192.168.1.15 Adressbereich der verfügbaren internen DHCP-IP-Adressen, eingetragen unter Basic, Network, DHCP-Server


  • Wireless zeigt Informationen über den WLAN-Teil des lokalen Netzwerks.
MAC Address 00:22:6B:12:34:34
Wireless Mode Access Point Modus eingestellt unter Basic, Network, Wireless
B/G Mode Mixed B+G Modus eingestellt unter Basic, Network, Wireless
Radio Enabled Aktiviert unter Basic, Network, Wireless
SSID Funknetzwerk-Kennung  SSID Service Set Identifier
Security WPA2 Personal (PSK) + TKIP / AES  WPA2 Wi-Fi Protected Access 2 mit  PSK Pre-Shared-Key +  TKIP Temporal Key Integrity Protocol /  AES Advanced Encryption Standard - Verschlüsselung
Shared Key Uv10NOYKW4fJKNrBoJIwRVx2BUBCc4pdH.... Maximale Schlüssellänge von 63 Zeichen
Group Key Renewal 3600 seconds


Refresh oder Stop
3 seconds oder Sanduhr
Buttons zum manuellen Aktualisieren oder automatischen (zeitgesteuerten) Aktualisieren

Device List

[Bearbeiten]

Hier werden alle Geräte aufgelistet, die momentan mit dem Router verbunden sind. Die Geräte werden nach ihrer Schnittstelle angezeigt, über die sie mit dem Router verbunden sind.

  • br0 bezieht sich auf kabelgebundene (LAN) Geräte. Hier werden Geräte angezeigt, die über einen der 4 Ethernet-Ports (entweder direkt oder über einen Hub/Switch) angeschlossen sind.
  • eth1 bezieht sich auf drahtlose (LAN) Geräte. Hier werden Geräte angezeigt, die über WLAN mit dem Router verbunden sind.
  • vlan1 bezieht sich auf die Internetverbindung (WAN). Hier wird die Verbindung zum Internetmodem (DSL-Modem, Kabelmodem ...) angezeigt.

Es sei hier erwähnt, dass man beim klicken auf den Begriff [static] unterhalb der MAC Adresse das entsprechende Device in die Liste des statischen DHCP's eintragen kann. Dadurch erspart man sich das abschreiben bzw. kopieren der MAC Adresse. vgl. Static DHCP.

Mit einem Klick auf den Begriff [oui] (=Organizationally Unique Identifier) wird man auf die externe Seite der IEEE-Standards weitergeleitet. Dort können die Herstellerkennungen zu den ersten 24 Bits der MAC Adresse abgefragt werden. 00-22-6B steht z.B. für Cisco-Linksys.

Bietet die Möglichkeit, sich die internen System-Logs anzusehen (Voraussetzung: Logging muss aktiviert sein -> Administration->Logging->Log Internally).

  • View Last 25 Lines: Zeigt die letzten 25 Zeilen des Kernel-Logs
  • View Last 50 Lines: Zeigt die letzten 50 Zeilen des Kernel-Logs
  • View Last 100 Lines: Zeigt die letzten 100 Zeilen des Kernel-Logs
  • View All: Zeigt das gesamte Kernel-Log
  • Download Log File: Lädt das Kernel-Log auf den lokalen PC
  • Find: Durchsucht das Kernel-Log nach dem eingegebenen Suchtext
  • Logging Configuration: Wechselt zum Menüpunkt Administration->Logging

Bandwidth

[Bearbeiten]

Stellt Informationen über die gegenwärtige Bandbreite und Bandbreitenverbrauch des Routers zur Verfügung.

Real-Time

[Bearbeiten]

Zeigt ein Diagramm der verwendeten Bandbreite der letzten 10 Minuten an, dieses aktualisiert sich alle zwei Sekunden. Reiter an der Oberseite ermöglichen die verschiedenen Schnittstellen auszuwählen um sie einzeln anzeigen zu lassen.

Die Diagramme werden mit Hilfe von SVG (Scalable Vector Graphics) dargestellt. Um die Diagramme anzeigen zu lassen wird ein SVG-fähiger Web-Browser benötigt. Mozilla Firefox und Opera beherrschen in der aktuellen Version  SVG von Haus aus. Für den Microsoft Internet Explorer muss das Add-On von Adobe installiert werden. Es kann von der Adobe SVG Viewer download area heruntergeladen werden.

Last 24 Hours

[Bearbeiten]

Zeigt ein Diagramm der verwendeten Bandbreite der letzten 24 Stunden an, dieses aktualisiert sich alle 120 Sekunden. Reiter an der Oberseite ermöglichen die verschiedenen Schnittstellen auszuwählen um sie einzeln anzeigen zu lassen.

Die Diagramme werden mit Hilfe von SVG (Scalable Vector Graphics) dargestellt. Um die Diagramme anzeigen zu lassen wird ein SVG-fähiger Web-Browser benötigt. Mozilla Firefox beherrscht  SVG von Haus aus. Für den Microsoft Internet Explorer muss das Add-On von Adobe installiert werden. Es kann von der Adobe SVG Viewer download area heruntergeladen werden.

Daily

[Bearbeiten]

Zeigt die Zusammenfassung des täglichen Bandbreitenverbauchs an. Dabei werden die Spalten für Download, Upload und die Gesamtmenge angezeigt. Die Standard-Einheit ist GB (Gigabytes). Diese kann unter 'Scale' in MB (Megabytes) oder KB (Kilobytes) angepasst werden.

Am rechten Rand kann auch das Datumsformat gewechselt werden, z.B. in das deutsche dd.mm.yyyy

Oberhalb dieser Auswahl wird in der Version 1.25 auch das zusammengefasste Datenvolumen für Down-/Up- und Total der letzten 30 Tage in der ausgewählten Mengen-Einheit dargestellt. Zudem kann über die Option »Data die gleiche Anzeige in einem kommagetrennten Format dargestellt werden:

2009,9,5,10699286,10043428
2009,9,4,7367509,9998359
2009,9,3,19062457,4476736
2009,9,2,14774719,9874155
2009,9,1,22015589,10680044

Über die zweite Option »Configure gelangt man direkt in den Menupunkt Administration->Bandwith Monitoring

Weekly

[Bearbeiten]

Zeigt die Zusammenfassung des wöchentlichen Bandbreitenverbauchs an. Dabei werden die Spalten für Download, Upload und die Gesamtmenge angezeigt. Die Standard-Einheit ist GB (Gigabytes). Diese kann unter 'Scale' in MB (Megabytes) oder KB (Kilobytes) angepasst werden.

Am rechten Rand unter 'Show' kann die Anzeige zwischen der Zusammenfassung 'Summary' oder den Details pro Wochentag 'Full' gewechselt werden. Der Standard-Starttag pro Woche ist 'Sun' (Sonntag) welcher ausgewählt werden kann. Auch das Datumsformat kann gewechselt werden, z.B. in das deutsche dd.mm.yyyy

Monthly

[Bearbeiten]

Zeigt die Zusammenfassung des monatlichen Bandbreitenverbauchs an. Es zeigt auch den Unterschied zum Vormonat an.

Seit der Version 1.25 ist die Differenzanzeige nicht mehr verfügbar. Dafür kann am rechten Rand das Datumsformat gewechselt werden, z.B. in das deutsche mm.yyyy Die Standard-Mengeneinheit ist GB (Gigabytes). Diese kann unter 'Scale' in MB (Megabytes) oder KB (Kilobytes) angepasst werden. Zudem kann über die Option »Data die gleiche Anzeige in einem kommagetrennten Format dargestellt werden:

2009,9,88422400,72755703

2009,8,449369510,326252955

2009,7,376756061,369582164

Über die zweite Option »Configure gelangt man direkt in den Menupunkt Administration->Bandwith Monitoring

Tools

[Bearbeiten]

Enthält Funktionen zur Prüfung und Analyse der Verbindung.

Ermöglicht andere Computer im Internet oder lokalem Netzwerk anzupingen, um die Verbindung zu überprüfen. Die URL oder IP-Adresse eintippen, die angepingt werden soll, die Anzahl der Wiederholungen 'Ping Count' und/oder die Paketgröße 'Packet Size' bei Bedarf verändern und [ Ping ] drücken. Die Resultate werden angezeigt, wenn der Ping komplett ist.

Trace

[Bearbeiten]

Ermöglicht eine Zurückverfolgung ( Traceroute) vom Router zu Computer im Internet oder lokalem Netzwerk. Die URL oder IP-Adresse eingeben, die zurückverfolgt werden soll, die Anzahl der Sprünge 'Maximum Hops' und/oder die maximale Wartezeit 'Maximum Wait Time' bei Bedarf verändern und [ Trace ] drücken. Die Resultate werden angezeigt, wenn die Zurückverfolgung komplett ist.

Wireless Survey

[Bearbeiten]

Scant die Umgebung nach anderen WLAN-Geräten ab und zeigt darüber Informationen, wie z. B. die Empfangsfeldstärke  RSSI, Noise, Quality, Channel und andere Daten an.

Bei einem Klick auf den Eintrag in der Spalte  BSSID wird eine externe Suche bei IEEE-Standards gestartet. Im Beispiel wird z.B. auf http://standards.ieee.org/cgi-bin/ouisearch?00-0F-CC verlinkt. Die Resultatseite zeigt 'Netopia Inc.' als Firma hinter dem MAC-Wert 00-0F-CC an.

Ermöglicht das Senden von WOL-(  Wake on LAN)-Paketen an Computer im Netzwerk um diese zu starten oder aus dem StandBy-Modus aufzuwecken.

Hier werden die Client-Einträge aus Static DHCP aufgelistet. Gestartete Clients werden erkannt und unter Status als Active (In ARP) angezeigt.

Im unteren Feld MAC Address List kann eine Liste von MAC-Adressen (eine MAC pro Zeile??) eingegeben werden, die aufgeweckt werden sollen.

Basic

[Bearbeiten]

Hier werden die Netzwerkgrundeinstellungen vorgenommen.

Network

[Bearbeiten]

Ermöglicht die Einrichtung des Internetzugangs bzw. der WAN-Verbindung die der Router benutzt und die Grundeinstellung des lokalen Netzwerkes.

WAN / Internet
[Bearbeiten]

Beschreibt wie der Router sich mit dem Internet verbinden soll. Normalerweise geschieht dies mit einem Netzwerkkabel, das mit dem WAN-Anschluss des Routers und einem DSL- oder Kabelmodem verbunden ist.

  • Type: Beschreibt die Art der benutzten Verbindung. Auswahlmöglichkeiten: DHCP, PPPoE, Static, PPTP, L2TP und Disabled.

Diese Einstellungen unterscheiden sich untereinander und hängen von der Art der Verbindung ab.

Der Standard für die meisten Kabelmodems ist "DHCP", das bedeutet, dem Router wird automatisch eine IP-Adresse vom Kabelmodem zugeordnet und zusätzlich noch andere Verbindungsdaten.

DSL-Verbindungen benutzen meistens PPPoE, welches gewöhnlich die Eingabe eines Benutzernamens und eines Passwortes verlangt (zugewiesen vom DSL-Provider).

In Österreich wird meistens PPTP verwendet. Username & Password kommen vom Provider. Die VPN Serveradresse ist meistens 10.0.0.138. Wenn das so ist, dann sind die folgenden Felder so auszufüllen: Bei 'IP Adress' 10.0.0.140, Subnet 255.0.0.0 und Gateway 10.0.0.138

  • MTU: Die Maximum Transmission Unit beschreibt die maximale Paketgröße eines Protokolls der Vermittlungsschicht (Schicht 3) des OSI-Modells, welche ohne Fragmentierung in den Rahmen eines Netzes der Sicherungsschicht (Schicht 2) übertragen werden kann. Sie steht hier standardmässig auf 1500 (bytes).

Hier wird die Einrichtung des LAN (Local Area Network) vorgenommen.

  • Router IP Address: Die IP Adresse die dem Router zugewiesen wird. Standard: 192.168.1.1
  • Subnet Mask: Die Standardmaske 255.255.255.0 gibt an, dass alles was mit den ersten 3 Blöcken wie der Router beginnt (192.168.1.x) sich im gleichen Netz befindet.
  • Static DNS: Hier können DNS Server manuell eingetragen werden (vorzugsweise die des eigenen Providers).
DHCP Server
[Bearbeiten]

Sofern aktiviert, werden hier die IP-Adressen verwaltet die den LAN- und WLAN-Geräten zugewiesen werden. Wenn  DHCP aktiviert ist, vergibt der Router IP-Adressen des definierten Bereichs 'IP Adress Range' (Start - End). Des Weiteren kann die Dauer 'Lease Time' bestimmt werden wie lange eine IP für ein Gerät gültig ist bevor sie erneuert wird. Bei Bedarf kann auch ein WINS-Server angegeben werden.

Wireless
[Bearbeiten]

Hier wird die Einrichtung des Drahtlosnetzwerkes (Wireless Local Area Network) vorgenommen.

  • Enable Wireless: Aktiviert den WLAN-Betrieb
  • MAC Address: Zeigt die MAC Adresse an die dem WLAN des Routers zugeordnet ist
  • Wireless Mode: Hier wird die WLAN Betriebsart eingestellt. Der Betriebsmodus AP (Access Point) erlaubt es WLAN Clients sich zu verbinden. Weitere Betriebsmodi sind: AP + WDS (Wireless Distribution System), Wireless Client, Wireless Ethernet Bridge und WDS. Bemerkung: Wird der Router als Wireless Client betrieben kann er nicht als AP arbeiten.
  • B/G Mode: Hier kann man Mixed, B-Only (802.11b) oder G-Only (802.11g) einstellen. Wird der Router in x-Only Modus betrieben, können sich nur Geräte mit diesem Modus verbinden. Empfohlene Betriebsart: Mixed
  • SSID: Hier wird der 'Service Set Identifier' oder auch 'Network Name' definiert. Hierdurch lässt sich der Router von benachbarten Netzen abgrenzen und ist leichter identifizierbar.
    • Broadcast: Ist dieser Punkt aktiviert ist der Router für alle Geräte sichtbar. Aus Sicherheitsgründen kann diese Option deaktiviert werden, wobei es inzwischen umstritten ist, ob ein deaktiviertes Broadcasting nicht sogar riskanter ist.
  • Channel: Hier wird einer der vierzehn 2,4GHz Kanäle definiert, mit dem der Router sendet und empfängt. Es sollte möglichst ein Kanal gewählt werden, der im unmittelbaren Umfeld noch nicht benutzt wird. Ab der Version 1.19 gibt es hier auch einen Scan-Button mit dem man nach anderen Access Points scannen kann. Diese werden in der Liste der Kanäle angezeigt, so dass man einen Kanal wählen kann, auf dem keine oder weniger APs das eigene WLAN stören.
  • Security: Hier werden die Sicherheitseinstellungen vorgenommen. Es stehen die Modi WEP, WPA, WPA2 und Radius zur Verfügung. Einer der "sichersten" Modi ist der Betrieb im WPA/WPA2 Personal Modus. Ein unverschlüsselter Betrieb wird aus Sicherheitsgründen nicht empfohlen.
Bei Shared Key wird der Pre-shared key eingegeben. Über den Random-Knopf kann ein 63 Zeichen langer zufälliger Schlüssel erzeugt werden. Dieser muss auf dem Gerät das Zugang zu diesem Netz will eingetragen werden.
Das Standard-Group-Key-Renewal-Intervall ist auf 3600 Sekunden eingestellt.

Identification

[Bearbeiten]
  • Router Name: Hier kann der Name für den Router vergeben werden. Dieser erscheint beim Login und in der Tomato WebGUI.
  • Hostname: Hier kann ein Hostname vergeben werden falls der ISP einen solchen benötigt.
  • Domain Name: Hier kann ein Domain Namen vergeben werden falls der ISP einen solchen benötigt.
  • Router Time: Zeigt das aktuelle Datum und die aktuelle Uhrzeit des Routers an.
  • Time Zone: Gibt dem Router die Zeitzone an, so dass er sich auf die lokale Zeit einstellen kann.
  • Auto Daylight Savings Time: Wenn diese Option aktiviert ist führt der Router eine Zeitumstellung Normalzeit/Sommerzeit automatisch durch.
  • Auto Update Time: Gibt an wie oft der Router einen Network Time Protocol (NTP) Server abfragt und mit der internen Uhr abgleicht.
  • Trigger Dial On Demand: Wenn diese Option aktiviert ist, baut der Router bei Bedarf eine Verbindung auf um die Zeit abzugleichen.
  • NTP Time Servers: Hier können bis zu 3 NTP-Server eingetragen werden, die zur Zeitsynchronisation benutzt werden sollen.

Ist der Router-Standort Deutschland, gibt man am besten 0.de.pool.ntp.org, 1.de.pool.ntp.org und 2.de.pool.ntp.org in den drei Fenstern an, dann werden die Anfragen auf verschiedene Server dieser Pools verteilt. Ab Version 1.09 kann aus einer Liste eingetragener Server oder selber einzugebenden Servern gewählt werden. Um die Pool-Server manuell einzutragen den Listeneintrag Custom... wählen.

Seit der Version 1.25 wird unter 'IP Address' die eigene externe IP-Adresse vorgeschlagen, aber auch die Option 'Use external IP Address Checker (every 10 Minutes)' ist neben 3 Offline-Varianten (0.0.0.0 / 1.1.1.1 / 10.1.1.1) auswählbar.

Hier können auch bis zu 2 Dynamische DNS-Dienste eingerichtet werden. Dabei sollte auf die genaue Syntax des jeweiligen DDNS-Providers geachtet werden.

Folgende dynamische DNS-Dienstanbieter stehen aktuell zur Auswahl:

Je nach ausgewähltem Dienstanbieter wechseln die möglichen Eingabefelder für den Benutzernamen, das Passwort, die Mail-Adresse, den gewünschten Hostnamen und teilweise auch für einen MX-Record.

Static DHCP

[Bearbeiten]

Hier kann einer MAC-Adresse eine feste IP-Adresse zugeordnet werden. Somit wird sichergestellt, dass ein bestimmter Client jedesmal die gleiche IP-Adresse zugeordnet bekommt, wenn sich dieser zum Router neu- oder wiederverbindet. Außerdem können verschiedenen MAC-Adressen deselben Client dieselbe IP-Adresse zugeordnet werden, z.B. der LAN und WLAN Schnittstelle eines Rechners.

Wireless Filter

[Bearbeiten]

Unter dem Titel 'Wireless Client Filter' kann kontrolliert werden welches WLAN-Gerät anhand seiner MAC-Adresse eine Verbindung mit dem Router aufbauen darf oder nicht.

Dies stellt in der Praxis keinen guten Schutz dar. MAC-Adressen lassen sich problemlos fälschen. Außerdem erhöht es den Aufwand, Gästen einen Zugang zum WLAN Netz zu ermöglichen.

Advanced

[Bearbeiten]

Hier werden erweiterte Netzwerkeinstellungen vorgenommen

Conntrack / Netfilter

[Bearbeiten]

Hier kann die Anzahl der Verbindungen und die Haltedauer jeder einzelnen Verbindung in der Network Address Translation Table (NAT) verändert werden. Dies betrifft hauptsächlich P2P-Anwendungen und andere verbindungsintensive Applikationen. Da die NAT des Routers nur eine begrenzte Anzahl von Einträgen besitzt, können keine neuen Verbindungen aufgebaut werden, wenn diese Tabelle voll ist. Um nicht Gefahr zulaufen, dass die NAT "volläuft", muss entweder die maximale Anzahl an Einträgen erhöht werden oder die Haltedauer der Verbindungen verringert werden.

Die wichtigsten Einstellungen sind:

  • Maximum Connections
    • Wenn dieser Wert erhöht wird kann der Router langsamer werden. 4096 ist ein guter maximaler Wert.
    • Wird dieser Wert zu klein gewählt, läuft man Gefahr, dass die NAT "volläuft". Der Standardwert von 2048 ist ein guter minimaler Wert.
    • Bevor dieser Wert geändert wird, sollte die Haltedauer der Verbindungen verringert werden, um "Verbindungsleichen" früher zu entfernen und somit freie Einträge in der NAT zu schaffen
    • Beim Klick auf [count current...] direkt neben dem Eingabefeld wird die aktuelle Anzahl an NAT-Einträgen angezeigt.
    • Beim Klick auf den Button Drop Idle werden "Verbindungsleichen" gelöscht.
  • TCP Timeout: Wert Established
    • Dieser Wert gibt die Dauer an, die eine bestehende Verbindung nach ihrer letzten Aktivität in der NAT verbleibt.
    • Wenn dieser Wert zu klein gewählt wird, können aktive Verbindungen (z.B. Telnet, FTP) frühzeitig unterbrochen werden, falls längere Zeit kein Datenfluss stattfindet.
    • Wird dieser Wert zu hoch gewählt, bleiben alte und verwaiste Verbindungen bestehen und verschwenden so unnötig Einträge in der NAT.
    • Der Standardwert von 4 Stunden (14400 Sekunden) stellt einen guten Mittelwert dar. In Nicht-P2P-Umgebungen kann dieser Wert problemlos auf mehrere Tage eingestellt werden (Standardwert bei Original-Linksys-Firmware liegt bei 5 Tagen).

Alle weiteren Einstellungen sollten nur von erfahrenen Anwendern verändert werden.

Einige Internet-Seiten empfehlen folgende Einstellungen:

  • Maximum Connections = 4096
  • TCP Timeout Established = 1800

DHCP / DNS

[Bearbeiten]

Hier werden die erweiterten Einstellungen zu DHCP / DNS vorgenommen. So kann z.B. der interne Cache DNS Forwarder aktiviert bzw. deaktiviert werden oder die statische Lease-Zeit von DHCP definiert werden.

  • Use Internal Caching DNS Forwarder: Dadurch werden DNS Einträge lokal zwischengespeichert, was in der Praxis zu einer Beschleunigung führt, da sehr oft dieselben Domains übersetzt werden sollen. Es wird empfohlen, diese Option zu verwenden.
  • Use Received DNS With Static DNS: In der Regel werden ein oder zwei DNS-Server vom ISP angeboten. Zusätzlich lassen sich DNS-Server entweder unter Dnsmasq->Custom Configuration oder unter Basic->LAN->Static DNS eintragen. Sollen nur die eigenen verwendet werden, sollte die Option nicht verwendet werden. Sollen sowohl die angebotenen als auch die eigenen DNS-Server verwendet werden, sollte diese Option verwendet werden.
  • Intercept DNS Port (UDP 53): Diese Option erzwingt die Verwendung der konfigurierten DNS-Server, d.h. Clients können keine anderen verwenden.
  • Dnsmasq - Custom Configuration: Hier lassen eigene Anpassungen vornehmen. Die man page zu dnsmasq gibt es hier.

Firewall

[Bearbeiten]

Hier ist es möglich Einstellungen der Firewall zu verändern. So kann eingestellt werden ob der Router auf ICMP - Pings vom Internet her antwortet (Empfehlung: nein!). Des Weiteren können Multicast, NAT Loopback und/oder SYN-cookies aktiviert bzw. deaktiviert werden.

WICHTIG! Die Firewall ist immer an und kann nicht deaktiviert werden!

MAC Address

[Bearbeiten]

Hier kann der WAN bzw. WLAN Schnittstelle die MAC Adresse zugeordnet werden.

Miscellaneous

[Bearbeiten]

Hier kann die Boot-Wait Zeit eingestellt werden. Es ist auch möglich die Geschwindigkeit der WAN Schnittstelle einzustellen. Dies muss der eingesetzte Router aber unterstützen.

Routing

[Bearbeiten]

Hier kann die Routing Tabelle bearbeitet und erweitert werden. Des Weiteren kann das RIP- und STP-Protokoll aktiviert bzw. deaktiviert werden.

Wireless

[Bearbeiten]

Hier können erweiterte WLAN Einstellung vorgenommen werden. Es kann z.B die Sendeleistung erhöht werden oder es kann zugewiesen werden welche Antenne für den Empfang und welche für das Senden zuständig ist. Diese Einstellungen sollten nur von erfahrenen Benutzern geändert werden.

Port Forwarding

[Bearbeiten]

Durch Port Forwarding wird es möglich, dass Server und Dienste die im internen Netz (LAN) betrieben werden, auch vom Internet her erreichbar sind. Dazu müssen die Pakete durch die Firewall des Routers "geschleust" werden, dies wird mit Port Forwarding erreicht. Es gibt mehrere Möglichkeiten dies einzurichten.

Basic

[Bearbeiten]

Ermöglicht eine einfache Port-Weiterleitung. Alle Pakete, die über die definierten External Ports empfangen werden, werden an die definierte Internal Address weitergeleitet.

Demilitarized Zone (DMZ) ermöglicht es ein Gerät im Netzwerk festzulegen das alle Pakete aus dem Internet empfängt. Das kann sinnvoll sein für Geräte die uneingeschränkten Zugriff auf das Internet benötigen wie z.B Web-Server, Mail-Server. Dadurch werden aber die Firewall Mechanismen umgangen die somit keinen Schutz mehr bieten. In der aktuellen firmware Version kann der externe Zugriff auf Basis von IP-Adressen eingeschränkt werden.

Triggered

[Bearbeiten]

Port Triggering ist eine "Port Weiterleitung" auf Anforderung. Der Router überwacht dabei ausgehende Verbindungen auf einen oder mehreren bestimmten Port(s). Wird eine ausgehende Verbindung auf diesen Port(s) aufgebaut leitet der Router alle definierten Ports an den Computer weiter, der diese Verbindung aufgebaut hat.

  • Triggered Ports: Hier werden die Ports definiert die vom Router überwacht werden sollen.
  • Forwarded Ports: Hier werden die Ports definiert die vom Router bei Bedarf weitergeleitet werden sollen.

Universal Plug and Play (UPnP) ermöglicht es Geräten, im Netzwerk ihre eigenen Port-Weiterleitungen einzurichten. So kann z.B. ein Computer, auf dem ein Webserver läuft, dem Router mitteilen, dass die Ports 80 und/oder 443 an ihn weitergeleitet werden. So können lokale Netzwerkgeräte bei Bedarf "Port Weiterleitungen" erstellen, löschen und updaten.

Es sollte aber beachtet werden, dass UPnP trotz aller Bequemlichkeit auch ein gewisses Sicherheitsrisiko darstellt. So kann ein Schadprogramm wie z.B. ein Trojaner durch UPnP die Firewall des Routers umgehen.

NAT-PMP

[Bearbeiten]

Das von Apple entwickelte NAT Port Mapping Protocol (NAT-PMP) welches seit Firmware Version 1.24 enthalten ist, bietet eine Alternative zu UPnP.

Quality of Service ermöglicht es den Datenfluss zu priorisieren. Um den schnellen Datenfluss von wichtigen Daten zu garantieren wird weniger wichtiger Datenfluss verlangsamt. Dies wird sinnvollerweise nur auf den ausgehenden Datenverkehr (Computer->Internet) angewandt da eingehender Datenverkehr bereits die "Engstelle" (Internet Verbindung) passiert hat und somit nicht mehr effektiv (Datenpakete werden einfach verworfen) zu priorisieren ist.

Basic Settings

[Bearbeiten]
  • Enable QoS: Hier läßt sich QoS aktivieren bzw. deaktivieren
  • Prioritize ACK: Priorisiert das senden von ACK (Acknowledgment) Paketen
  • Prioritize ICMP: Priorisiert das senden von Internet Control Message Protocol Paketen (Ping-Antworten...)
  • Strict Rule Ordering: Wenn diese Option deaktiviert ist werden PP2P, L7 und KB-basierende Regeln zuerst angewandt und in einem zweiten Durchgang werden dann IP, MAC und Port basierende Regeln angewandt. Ist diese Option aktiviert werden die Regeln exakt so abgearbeitet wie Sie in der WebGUI erscheinen (von oben nach unten).
  • Reset Classification when making changes: Ist diese Option aktiviert werden bei Änderungen in den QoS-Einstellungen alle Verbindungen neu eingestuft. Wenn diese Option deaktiviert ist wird es unter Umständen nötig die Applikation(en) neuzustarten, damit jede existierende Verbindung neu aufgebaut wird.
  • Default Class: Hier wird die Standard QoS Klasse definiert. Alle Verbindungen die nicht einer Klasse zugeordnet sind, fallen automatisch in die Standard-Klasse.

Outbound Rate / Limit

  • Max Bandwidth: Hier wird die maximale Bandbreite für den ausgehenden Datenverkehr festgelegt. Man sollte ca. 90% der realen (gemessenen) Geschwindigkeit eingeben. Wird dieser Wert zu hoch eingestellt kann QoS nicht mehr effektiv arbeiten und bei zu tief gewähltem Wert wird Bandbreite verschenkt. Eine gute Erklärung zu diesem Thema ist hier zu finden -> http://vonage.nmhoy.net/qos.html
  • Highest - Class E: Hier kann man den 10 QoS-Klassen eine garantierte (linkes Feld) Bandbreite und eine maximale Bandbreite (rechtes Feld) zuweisen.

Inbound Limit

  • Max Bandwidth: Hier wird die Bandbreite für den eingehenden Datenverkehr eingestellt. Da QoS für den eingehenden Datenverkehr nicht wirklich sinnvoll ist kann hier die maximale Bandbreite für den eingehenden Datenverkehr eingestellt werden.
  • Highest - Class E: Man kann jeder der 10 QoS einen maximale Bandbreite für den eingehenden Datenverkehr angeben, dies macht aber wie bereits erwähnt keinen Sinn, da dadurch Datenpakete verworfen werden, die dann erneut gesendet werden und unter Umständen den Datenfluss behindern.

Classification

[Bearbeiten]

Hier wird definiert welche Verbindungen welche Priorität bekommen. QoS-Einstufungen können per MAC/IP-Adresse, TCP/UDP-Port oder erweiterten Filtern wie IPP2P oder Layer7 (L7) konfiguriert werden. Diese Zuweisung überschreibt die Standard QoS-Klasse bei den Basic Einstellungen. Alle QoS Regeln werden von der LAN Seite her betrachtet, so bedeutet SOURCE immer der Computer bzw. Gerät der ins Internet sendet und DESTINATION ist immer das Ziel im Internet.

QoS kann auf verschiedene Weisen zugeordnet werden:

  • Adresse : Erkennen des Pakets über die MAC bzw. IP-Adresse die sendet (SOURCE) oder die IP Adresse die kontaktiert wird (DESTINATION)
  • Protokoll/Port : Erkennen des Pakets anhand des Protokolls (TCP,UDP...) und/oder der Port-Nummer (z.B Port 80 HTTP)
  • IPP2P/L7 : Erkennen des Pakets anhand seines Paket-Musters.

BEMERKUNG: Adress und Protokoll/Port Zuordnungen sind die schnellsten und effektivsten Methoden. IPP2P ist langsam und Layer7 am langsamsten. Wenn Möglich sollte Adress und Protokoll/Port Zuordnung verwendet werden bevor IPP2P und/oder Layer7 zum Einsatz kommen.

View Graphs

[Bearbeiten]

Eine der mächtigsten Eigenschaften von Tomato. Hier können die aktuellen Verbindungen in nahezu Echtzeit betrachtet werden und wie QoS die Verbindungen einstuft. Dies ermöglicht die Bewertung wie effektiv QoS arbeitet. Um Einzelheiten über die Verbindungen einer betimmten Klasse zu erhalten, muß einfach auf die jeweilige Klasse geklickt werden.

View Details

[Bearbeiten]

Hier werden alle Verbindungen und deren zugehörige QoS-Klasse aufgelistet, die durch den Router aufgebaut wurden. Bei einem Klick auf eine Verbindung wird der Name zur IP-Adresse aufgelöst (Reverse Lookup). Um zu allen Verbindungen den Namen aufzulösen kann "automatically resolve addresses" angeklickt werden. Dies kann je nachdem wieviele Verbindungen existieren eine längere Zeit dauern.

Access Restriction

[Bearbeiten]

Hier können Zugriffsbeschränkungen auf das Internet konfiguriert werden. Man kann anhand von Zeitschienen, IP/MAC Adresse(n) und Protokoll(en) wie z.B. P2P verschiedene Regeln erstellen. Des Weiteren können Zugriffe auf bestimmte HTTP-Inhalte unterbunden werden.

Administration

[Bearbeiten]

Admin Access

[Bearbeiten]

Hier wird der administrative Zugriff auf den Router konfiguriert. Das Passwort für sämtliche Dienste ist immer das gleiche, welches am Ende dieser Seite festgelegt werden kann.

Web Admin
[Bearbeiten]

Hier wird der Zugriff über den Web-Browser konfiguriert. Der Benutzername für den Web-Zugriff lautet "root" oder "admin".

  • Local Access: Hier kann eingestellt werden ob und über welches Protokoll der Zugriff aus dem lokalen Netzwerk (LAN) stattfindet.
  • Remote Access: Hier kann eingestellt werden ob und über welches Protokoll der Zugriff aus dem Internet (WAN) stattfindet.
  • Allow Wireless Access: Hier kann der Zugriff auf die Web-GUI per WLAN aktiviert bzw. deaktiviert werden.
SSH Daemon
[Bearbeiten]

Hier wird der integrierte Secure Shell-Server (SSH) konfiguriert. Er ermöglich den gesicherten (verschlüsselten) Zugriff auf den Router. Der SSH Benutzername ist immer "root"

  • Enable at Startup: Hier kann eingestellt werden ob der SSH Daemon bei jedem Router Start mitgestartet werden soll.
  • Remote Access: Wenn diese Option aktiviert ist, kann man sowohl vom lokalen Netzwerk (LAN) als auch vom Internet aus auf den Router zugreifen. Ist diese Option deaktiviert, ist ein Zugriff nur über das lokale Netzwerk möglich.
  • Port: Hier wird der Port definiert über den man sich auf den SSH-Server verbindet (Standard = Port 22).
  • Allow Password Login: Wenn diese Option aktiviert ist kann man sich mit dem Router Benutzernamen und Passwort anmelden. Wenn diese Option deaktiviert ist kann mann sich nur per "Schlüssel" anmelden.
  • Authorized Keys: Hier werden die "Schlüssel" eingetragen die zur Anmeldung benötigt werden.
  • [Start Now] / [Stop Now]: Hier kann der SSH-Daemon kontrolliert gestartet bzw. gestoppt werden.
Telnet Daemon
[Bearbeiten]

Hier wird der integrierte Telnet-Server konfiguriert. Zugriff auf den Telnet-Server ist nur über das Lokale Netzwerk (LAN) möglich. Der Telnet Benutzername ist immer "root".

  • Enable at Startup: Hier kann eingestellt werden ob der Telnet-Daemon bei jedem Router-Start mitgestartet werden soll.
  • Port: Hier wird der Port definiert über den man sich auf den Telnet-Server verbindet (Standard = Port 23).
  • [Start Now] / [Stop Now]: Hier kann der Telnet-Daemon kontrolliert gestartet bzw. gestoppt werden.
Password
[Bearbeiten]

Hier kann das Passwort geändert werden. Es wird dringend empfohlen das Passwort sofort nach der Installation von Tomato zu ändern. Das Passwort muß identisch in beide Felder eingetragen und mit einem Klick auf "Save" abgespeichert werden. Nach Eingabe eines neuen Passwortes wird zur erneuten Authentifizierung aufgefordert (eventuell muß der Browser neugestartet werden)

Bandwidth Monitoring

[Bearbeiten]

Hier wird die Konfiguration zur Bandbreiten-Überwachung festgelegt.

Bandwidth Monitoring
[Bearbeiten]
  • Enable: Aktiviert bzw. deaktiviert die Bandbreiten-Überwachung.
  • Save History Location: Hier wird der Speicherort bestimmt wo der Verlauf abgelegt wird (NVRAM, Temp Memory, CIFS 1....)
    • Save Frequency: Hier wird das Intervall definiert, mit dem abgespeichert wird.
    • Create New File/Reset Data: Wird bei Save History Location CIFS 1, CIFS 2 oder Custom path ausgewählt, muss Create New File/Reset Data einmal angehackt werden, um die initialen Dateien für die Bandbreiten-Überwachung am neuen Speicherort anzulegen (beobachtet bei Tomato 1.23).
  • First Day Of The Month: Hier wird der erste Tag im Monat definiert.
  • Excluded Interfaces: Hier kann man Interfaces von der Überwachung ausschließen.
Backup
[Bearbeiten]

Hier kann der Verlauf der Bandbreiten-Überwachung gesichert werden ( Wichtig bei einem Reboot des Routers )

Restore
[Bearbeiten]

Hier kann eine Sicherung des Verlaufs wiederhergestellt werden ( z.B nach einen Reboot des Routers )

Buttons / LED

[Bearbeiten]

Hier kann das Verhalten der SES-Taste (Secure Easy Setup) und die Farbe der LED eingestellt werden.

  • When Pushed For...: Hier können verschieden Aktionen ( Reboot, Shutdown, Toggle W-LAN, ...) festgelegt werden die nach einer bestimmten Zeiten (0-2 Sek., 4-6 Sek., 8-10 Sek. und 12 Sek. und länger), die die SES-Taste gedrückt wird, ausgeführt werden. Man kann auch selbst erstellte Skripts einbinden.
  • Startup LED: Hier kann die Farbe der Startup LED definiert werden. Es steht gelb und weiss zur Auswahl.

CIFS Client

[Bearbeiten]

Hier besteht die Möglichkeit sich auf maximal zwei Windows- oder Samba-Shares zu verbinden. Dazu muß der UNC-Pfad in folgender Form eingegeben werden : \\192.168.45.23\share . Des Weiteren muss der Benutzername und das Passwort angeben werden um auf das Share zugreifen zu können. Es ist auch möglich ein Skript ausführen zulassen sobald auf das Share verbunden wird.

Hinweis: Der angegebene Benutzer muss auf dem Windows- oder Samba-Share ausreichend schreib-berechtigt sein, damit die Bandbreiten-History auch wirklich gespeichert werden kann.

Es wird empfohlen unter SAMBA die Einstellung "security = user" zu aktivieren, damit Fehler wie

smb signing is incompatible with share level security !

verhindert werden können.

Unter 'Total / Free Size' wird angezeigt, wieviel Speicherplatz auf dem Zielshare vorhanden ist. Diese Anzeige ist gleichzeitig ein Hinweis, ob der Zielshare gemounted (="verbunden") werden konnte.

Configuration

[Bearbeiten]

Hier kann die Konfiguration des Routers gesichert, rückgesichert und in Werkszustand gebracht werden.

  • Backup Configuration: Hier kann die aktuelle Konfiguration des Routers auf einem Computer abgespeichert werden.
  • Restore Configuration: Hier kann eine Konfigurationsdatei von einem Computer zurückgespielt werden.
  • Restore Default Configuration: Hier wird der Router auf Werkseinstellung zurückgesetzt. Des weiteren besteht hier die Möglichkeit den NVRAM komplett zu löschen.

JFFS2

[Bearbeiten]

Hier kann das JFFS2-Dateisystem aktiviert bzw. deaktiviert werden. Auf Routern mit 4MB Flashspeicher bleibt im Normalfall unbenutzer Speicher übrig der dann mit Hilfe des JFFS2-Dateisystems als schreibarer Speicher eingesetzt werden kann.

Auf dem WRT54GL v1.1 ist das jffs2-Verzeichnis dann nicht /jffs2/, sondern das bereits bestehende /jffs/. Auf diesem erhält man durch die Aktivierung und Formatierung Schreibrechte.

Logging

[Bearbeiten]

Es besteht die Möglichkeit internes und externes Logging durchzuführen. Bei internen Logging wird der Speicher des Routers zum ablegen der Informationen benutzt. Beim externen Logging werden die Informationen auf einem Computer abgelegt der eine Software wie z.B WallWatcher am laufen hat.

  • Log Internally: Hier kann das interne Logging aktiviert bzw. deaktiviert werden.
  • Log to Remote System: Hier kann das externe Logging aktiviert werden. Dabei muß die IP-Adresse und der Port des Zielsystems angeben werden.
  • Log Inbound Connection: Hier kann eingestellt werden ob eingehende Verbindungen mitgeloggt werden (dies wird nicht empfohlen).
  • Log Outbound Connection: Hier kann eingestellt werden ob ausgehende Verbindungen mitgeloggt werden (dies wird nicht empfohlen).
  • Limit Connection Logging: Hier wird eingestellt wieviele Einträge pro Minute maximal mitgeloggt werden.

Miscellaneous

[Bearbeiten]

Hier können Tomato interne Einstellungen vorgenommen werden. Es kann z.B der 'Console Log Level' definiert werden oder mit 'Avoid displaying LAN to router connections' können LAN-Verbindungen im QoS Monitor ausgeblendet werden.

Scripts

[Bearbeiten]

Ermöglicht es eigene Skripte in Tomato bei bestimmten Systemzuständen automatisch ausführen zu lassen.

Hier können Init-Skripte eingebunden werden (wird nach erfolgreichem Hochfahren ausgeführt; z.B Dienste starten oder Beenden)

Shutdown
[Bearbeiten]

Hier können Shutdown-Skripte eingebunden werden (wird beim Reboot oder herunterfahren ausgeführt)

Firewall
[Bearbeiten]

Hier können Firewall Skripte eingebunden werden (wird beim Start der Firewall ausgeführt)

  • Beispiel Skript: Die IP 192.168.3.40 kann maximal 100 gleichzeitige TCP-Verbindungen aufbauen
* iptables -I FORWARD -s 192.168.3.40 -p tcp -m connlimit --connlimit-above 100 -j DROP
WAN Up
[Bearbeiten]

Hier können WAN-Up-Skripte eingebunden werden (wird immer nach dem Herstellen der Internetverbindung ausgeführt)

Upgrade

[Bearbeiten]

Ermöglicht das Aktualisieren der Firmware, entweder auf eine neuere Tomato-Version oder auf jede andere geeignete alternative Firmware.

Bemerkung: Beim Upgrade auf eine andere Firmware (z.B. von Standard Linksys->Tomato) ist es wichtig den NVRAM zu löschen und auf Werkseinstellungen zu setzen. Bei Tomato kann dies unter Administration->Configuration->Restore Default Configuration gemacht werden.

About

[Bearbeiten]

Zeigt Informationen über

  • die Version von Tomato
  • den Copyright Hinweis
  • einen direkten Link zur offiziellen Homepage von Tomato
  • das Build-Datum der Benutzen Version
  • einen Geldspende Link für das Projekt Tomato
  • eine Danksagung an alle Beteiligten

Reboot...

[Bearbeiten]

Startet den Router neu (ohne Einstellungen zu löschen)

Shutdown...

[Bearbeiten]

Hiermit kann man den Router kontrolliert herunterfahren

Logout

[Bearbeiten]

Loggt den Benutzer aus dem Router aus (Die Sitzung wird beendet). Dies führt zum anfänglichen Login-Fenster zurück, wo sonst Benutzername und Passwort eingegeben werden. (Soll mitunter zu Verwirrungen führen, Benutzer fragen oft, warum man sich einloggen soll um sich auszuloggen).

Zusätzliche Bemerkungen

[Bearbeiten]

Bekannte Probleme

[Bearbeiten]
  • es gibt keine Hilfe-Datei :-)
  • In manchen Fällen kann es nötig sein den Router manuell neu zu starten damit Änderungen aktiv werden. Wenn die Änderungen WLAN-Einstellungen betreffen müssen möglicherweise beide Seiten neu gestartet werden
  • Nicht alle WLAN / Sicherheits Kombinationen funktionieren. Zum Beispiel: WET, Client und WDS funktionieren nicht im WPA2
  • CIFS VFS bekommt oft einen Timeout (möglicherweise kickt der Server den Client)
  • Die SVG-Graphen funktionieren möglicherweise nicht mit allen Browsern. Firefox: v1.5 oder höher benutzen, Internet Explorer benötigt Adobe SVG-Plugin, Opera: v9.0 oder höher benutzen, Safari: keine Unterstützung für Adobe SVG (2.0.x)

QOS / Access Restrictions Bemerkungen

[Bearbeiten]
  • Die Überprüfung aller QoS-Einstufungen und -Zugriffsbeschränkungen wird ausgeführt während die Pakete ins Internet "wandern". Die Quelle ist dabei stets der Computer und das Ziel ist in Richtung Internet.
  • Warum L7/IPP2P-Filter nicht dauernd funktionieren:
    • Die Filter arbeiten mit Übereinstimmung bestimmter Muster in den Datenpaketen. Einige Protokolle produzieren eindeutige Muster, andere nicht.
    • Eine Änderung im Aufbau eines Protokolls kann die Filter funktionslos machen.
    • Manche L7/IPP2P sind von der Richtung des Datenflusses abhängig. Zum Beispiel: eine HTTP-Anfrage eines Browsers wird anders behandelt als eine HTTP-Antwort eines Servers
  • Selbsterstellte L7-Filter können unter /etc/l7-extra/ abgelegt werden (Verzeichnis muss zuerst angelegt werden). Es muss dafür gesorgt werden, dass die selbsterstellt Filter vor der Firewall geladen werden. Bei externem Speicher kann dies jedoch kompliziert werden, so wird empfohlen JFFS2 zu benutzen oder einfache "Echo"-Anweisungen ins Startup-Script einzufügen. Um mehr über L7-Filter zu erfahren, besuchen Sie l7-filter.sf.net
  • Um Änderungen an den QoS-Regeln zu testen sollte die Applikation am betreffenden Computer neu gestartet werden um sicherzugehen das die Verbindung neu zugewiesen wird. Ebenso kann die Option "reset classification when making changes" aktiviert werden.
  • Obwohl es die Option gibt die Downloadgeschwindigkeit zu drosseln wird dies nicht empfohlen da der Router die Download Pakete dann verwirft und Sie von der Gegenseite nur wieder neu gesendet werden. Dies kann sich unter Umständen negativ auswirken.
  • KB transferred match:
    • Hierbei handelt es sich um die zum Internet übertragenen Daten in KBytes
    • Bei Werten von 1GB (1048KB) und darüber wird als unlimitiert betrachtet und wird auf alles über 1GB angewandt
    • IPP2P funktioniert damit nicht richtig da IPP2P seinen Zusand nicht überwacht
  • Problematische Regeln: Wenn IPP2P/L7-Filter greifen wird es problematisch da keine anderen Regeln mehr abgearbeitet werden.IP/MAC/Nur-Port Regeln können ebenfalls zum Problem werden wenn übergeordnete IPP2P/L7-Filter nicht greifen. In Kombination mit KB transferred Limit kann diese Problematik eingedämmt werden. Hier ein Beispiel: "#1: L7 ABC & 1024KB+, #2: L7 ABC". Regel #1 wird nicht greifen da Regel #2 samtlich Vekehr schon abgedeckt hat. Um diesen speziellen Fall zu umgehen bietet sich an "#1: L7 ABC & 0-1024KB, #2: L7 ABC & 1024KB+." zu benutzen.
  • Rangfolge: Die Regeln werden wie in der GUI abgebildet, strikt von oben nach unten geprüft. Die erste Regel die zutrifft markiert die Klasse. Wenn "strict ordering" ausgeschaltet ist werden die PP2P-, L7- und KB-Filter einer Gruppe zugewiesen und zuerst geprüft, alle anderen Regeln kommen danach.
  • Bei Performanceproblemen sollten einfache IP-, MAC- oder Port-Filter verwendet werden, da diese schneller als IPP2P und speziell L7 Filter sind.

Sonstige Bemerkungen

[Bearbeiten]
  • Einige NVRAM-Einstellungen können inkompatibel zu anderen Firmwares sein. Es wird empfohlen einen Reset durchzuführen, nachdem zu oder von einer anderen Firmware geflasht wurde.
  • Man kann eine spezielle DDNS-URL eingeben wie z.B. "http://www.mycustomdns.com/update.cgi?username=scooby&password=spooky&ip=@IP". Das Schlüsselwort "@IP" wird automatisch mit der aktuellen IP ersetzt. Bitte überprüfen sie die genaue Syntax bei ihrem DDNS Provider.
  • Der Busybox-Cron-Dienst, welcher in Tomato integriert ist, unterscheidet sich vom Vixie-Cron-Dienst, welcher z.B in DD-WRT und HyperWRT zu finden ist. Um die Planung von Aufgaben einfacher und sicherer zu machen, sollte anstelle der manuellen Änderung in der Config - Datei das Hilfsskript "cru" benutzt werden.
  • Um Einstellungen zu ändern und zu testen ohne jedesmal in den NVRAM schreiben zu müssen, kann unter Administration->Miscellaneous mit "avoid performing an nvram commit" das "Commit" abgestellt werden. Nach Beendigung der Tests sollte im Erfolgsfall der "commit" - Button betätigt werden, um die Änderungen dauerhaft im NVRAM abzuspeichern. War der Test nicht erfolgreich, sollte ein Neustart durchgeführt werden, um die Änderungen zu verwerfen.
  • Einige GUI Einstellungen wie z.B. die Auffrischzeit werden als Cookies gespeichert.
  • Das von Linksys passwortgeschützte TFTP-Upgrade funktioniert nicht mit Tomato. Um mit TFTP upgraden zu können, sollte die Möglichkeit des Bootloaders benutzt werden.
  • Falls der Bandbreiten-Verlauf gespeichert wird, sollte nicht vergessen werden, eine Sicherung davon anzulegen.

Tools

[Bearbeiten]

Support

[Bearbeiten]
Wikipedia hat einen Artikel zum Thema:
[Bearbeiten]